Iemand vroeg eens aan een dierentuindierenarts of het waar is dat
ijsberen zo onbetrouwbaar zijn. “Welnee,” luidde het vileine antwoord van de
veterinair, “ijsberen zijn juist uiterst betrouwbaar. Als je hun kooi
binnenstapt, dan weet je zeker dat ze je kop eraf trekken.”
Een mensendokter had een patiënt op het spreekuur die hooikoorts bleek
te hebben. De arts schreef pillen voor en de apotheker somde de mogelijke
bijwerkingen op. De patiënt kreeg daadwerkelijk last van flinke hoofdpijn. Je
zou kunnen zeggen dat de bijsluiter heel betrouwbaar was.
Een moordenaar, waarvan een cipier had gewaarschuwd dat hij
geradicaliseerd was, mocht toch op verlof. Tijdens dat verlof vermoordde hij
drie mensen. Ik aarzel om daar het label ‘betrouwbaar’ aan te hangen, maar als
je cynisch wilt zijn kun je wel zeggen dat hij ruimschoots aan de verwachtingen
heeft voldaan.
Ik heb het al eerder gehad over betrouwbare internetcriminelen. Dat zijn
criminelen die je bijvoorbeeld afpersen met ransomware, maar ook echt doen wat
ze beloven: als je betaalt, dan krijg je je bestanden terug. Op het dark web vind je sites waar je
DDoS-aanvallen of drugs kunt bestellen. Die sites hebben soms een uitstekend
functionerende helpdesk en ze geven ‘niet goed, geld terug’-garantie. Heel
betrouwbaar allemaal.
De meesten van ons hebben toch een ander beeld bij de betekenis van
‘betrouwbaar’. Er bestaat kennelijk zoiets als positieve en negatieve
betrouwbaarheid. Google levert bij zoeken op ‘negatieve betrouwbaarheid’ naast
enkele wetenschappelijke hits vooral resultaten waarbij met die term eigenlijk
‘onbetrouwbaar’ wordt bedoeld, maar dat is dus niet wat ik bedoel. Ik heb het
over voorspelbaar ongewenst gedrag.
Doorgaans zitten we niet te wachten op negatieve betrouwbaarheid. We
willen een betrouwbare auto, betrouwbare mensen om ons heen en natuurlijk ook
betrouwbare ICT. ICT bestaat niet alleen uit hard- en software – waarvan we
allang weten dat die, alleen al door hun omvang en complexiteit, inherent
onbetrouwbaar zijn – maar ook uit processen voor de totstandkoming van die ICT.
Die processen kennen ook een zekere mate van betrouwbaarheid. Een van de
aspecten van betrouwbaarheid is veiligheid. Je kunt de veiligheid van
ICT-producten verhogen door de betrouwbaarheid van de processen te verhogen.
Hoe? Door te beginnen met beleid dat gericht is op het maken van veilige
producten. Daar staat dan bijvoorbeeld in dat security by design een uitgangspunt is. En dat risicoanalyses
vanzelfsprekend zijn, evenals attack
& penetration tests voor ICT die aan de grote boze buitenwereld hangt.
Om het geen dood beleid te laten zijn heb je natuurlijk wel commitment van het
management nodig, al was het alleen maar omdat deze zaken nu eenmaal tijd en
geld kosten. Het management moet dat beleid uitdragen, zodat de gehele
organisatie ervan doordrongen wordt wat the
tone at the top is en zich daar ook naar gedraagt.
Maar je bent als informatiebeveiliger nog lang niet klaar als je beleid
hebt geschreven, dat door het management hebt laten accorderen en daar een berichtje
over hebt gepubliceerd op het intranet. Nee, nu begint het echte werk pas: trek
de organisatie in en help teams met het – vanuit beveiligingsoptiek – op orde
krijgen of verder verbeteren van hun processen. Als je de juiste mensen weet te
vinden, zul je vaak zien dat die er niet alleen het nut van inzien, maar dat ze
het ook nog leuk gaan vinden. Ze snappen dat informatiebeveiliging geen doel
is, maar een middel om tot betere – want betrouwbaardere – ICT te komen.
Wij van beveiliging zijn geen vervaarlijke ijsberen, maar vriendelijke
teddyberen. We schuiven graag bij je aan om je te helpen met het verbeteren van
de betrouwbaarheid van je processen en producten.
En in de grote boze buitenwereld …
... legt dit artikel onder andere uit wat het dark web is.
... zijn robots net echte IoT-devices – en dus niet volgens het
‘security by design’-principe ontworpen.
... kan je smartwatch verraden wat je typt. In theorie.
... dreigt er (g)een elektriciteitstekort voor datacenters.
... houd je hackers niet voor de gek met wachtwoordformules.
... moet je je router even uit- en aanzetten.
... gaat deze nieuwsbrief niet alleen over die hackbare routers van
hierboven, maar ook over Alexa. En over de AVG (inclusief grappen).
... werpt het ‘Hack the Pentagon’-programma zijn vruchten af.
... gaan verschillende browsers verschillend om met “het slotje”.
... verniel je harde schijven gewoon met geluid.
Geen opmerkingen:
Een reactie posten